LUXEMBOURG
AUDREY SOMNARD

Depuis la mise en place du RGPD en mai 2018, le Luxembourg n’a pas mis une seule amende

Depuis l’entrée en vigueur du règlement sur les données privées (RGPD) le 25 mai 2018, plus de 160.000 notifications de violation de données ont été signalées dans les 28 États membres de l’Union européenne ainsi que la Norvège, l’Islande et le Liechtenstein. Pour la période du 25 mai 2018 au 27 janvier 2019 il y a eu en moyenne 247 notifications d’infraction par jour. Pour la période du 28 janvier 2019 au 27 janvier 2020 il y a eu en moyenne 278 notifications d’infraction par jour (soit une augmentation de 12,6 %), de sorte que la tendance actuelle à la violation est à la hausse. Les Pays-Bas, l’Allemagne et le Royaume-Uni sont les pays qui ont enregistré le plus de violations de données à cette même période, avec 40.647, 37.636 et 22.181 respectivement. Les Pays-Bas, l’Allemagne et le Royaume-Uni sont en tête du tableau pour le nombre total de violations dans le rapport de l’année dernière. Au Luxembourg, le rapport a recensé 545 violations entre le 25 mai 2018 jusqu’à aujourd’hui. C’est peu, mais en rapportant le nombre d’infraction par celui des habitants, le Luxembourg arrive en 6e position de classement (derrière les Pays-Bas, Irlande, Danemark, Islande et Finlande) avec 56,97 infractions par 100.000 habitants. Soit une place de plus «gagnée» dans le classement par rapport au classement effectuée l’année passée.

114 millions d’euros d’amendes

Selon la dernière enquête de DLA Piper sur les violations de données, les régulateurs ont imposé 114 millions d’euros d’amendes dans le cadre du régime RGPD pour un large éventail de violations, et pas seulement pour des violations de données. La France, l’Allemagne et l’Autriche sont en tête du classement pour la valeur totale des amendes avec respectivement un peu plus de 51 millions d’euros, 24,5 millions d’euros et 18 millions d’euros. Le Luxembourg, lui, n’a pas encore d’amende à son compteur, toujours d’après le rapport. «Les premières amendes de RGPD soulèvent de nombreuses questions. Demandez à deux régulateurs différents comment les amendes devraient être calculées et vous obtiendrez deux réponses différentes. Nous sommes loin d’avoir la certitude juridique sur cette question cruciale, mais une chose est sûre, nous pouvons nous attendre à voir beaucoup plus d’amendes et de recours dans les années à venir», explique Patrick Van Eecke, président du cabinet international de protection des données de DLA Piper.

L’amende de RGPD la plus élevée à ce jour a été de 50 millions d’euros imposée par l’autorité française de régulation de la protection des données à Google, pour des violations présumées du principe de transparence et l’absence de consentement valable, plutôt que pour une violation des données. À la suite de deux violations de données très médiatisées, l’OIC britannique a publié en juillet 2019 deux avis d’intention d’imposer des amendes totalisant 282 millions de livres sterling (environ 329 millions d’euros), bien qu’aucun de ces avis n’ait été finalisé à la date du présent rapport.